疾控中心艾滋病科关于信息收集的制度

疾控中心艾滋病科关于信息收集的制度第一章总则第一条本制度依据《中华人民共和国传染病防治法》《艾滋病防治条例》等法律法规，参照行业管理准则及相关母公司内部控制规范，结合疾控中心艾滋病科业务特点及风险防控实际需求制定。旨在明确信息收集管理标准，规范业务操作流程，防范信息泄露与不当使用风险，保障艾滋病防治工作依法依规开展，促进科室管理效能提升。第二条本制度适用于疾控中心艾滋病科全体工作人员，以及与科室信息收集工作相关的协作单位及外部合作人员。覆盖艾滋病病毒检测、咨询、报告、随访、数据统计、科研信息等全流程信息收集活动，包括纸质记录、电子数据、影像资料及口头信息等多元载体。第三条本制度核心术语定义如下：（一）XX专项管理：指艾滋病科针对信息收集环节建立的全流程管控体系，包括制度设计、风险识别、合规审查、应急处置等闭环管理活动。（二）XX风险：指在信息收集过程中可能发生的泄露、篡改、滥用等安全事件，以及因管理缺陷导致的法律责任、声誉损失或防控效能降低。（三）XX合规：指信息收集活动严格遵循法律法规、行业标准及内部制度要求，确保数据真实性、完整性、保密性及合法使用。第四条XX专项管理应遵循以下原则：（一）全面覆盖：确保信息收集各环节均纳入管理范围，不留死角；（二）责任到人：明确各层级、各岗位管理职责，实现可追溯；（三）风险导向：聚焦高风险环节强化管控，动态调整管理策略；（四）持续改进：定期评估管理效果，优化制度与流程。第二章管理组织机构与职责第五条科室主要负责人对本单位信息收集管理负总责，对专项管理工作的组织领导、资源保障及最终效果承担首要责任；分管负责人为直接责任人，负责日常监督、决策审批及跨部门协调。第六条设立信息收集管理领导小组，由科室主要负责人任组长，分管负责人任副组长，成员包括业务骨干、数据管理员及法务合规人员。领导小组职能包括：统筹管理方案制定、重大风险决策、第三方合作审查、年度考核评价。第七条明确三类主体职责：（一）牵头部门（业务科）：负责专项管理制度建设、风险排查、监督考核、培训宣贯及问题整改；（二）专责部门（数据科）：负责数据质量审核、系统权限管理、技术安全保障及流程优化；（三）业务部门/下属单位：落实管理要求，开展日常风险排查，实施个案信息闭环管理。第八条基层执行岗责任包括：（一）严格按操作规范收集、传递信息，不得擅自扩大范围或泄露敏感内容；（二）发现异常情况及时上报，配合开展调查处置；（三）签署岗位合规承诺书，确认知悉并遵守保密协议。第三章专项管理重点内容与要求第九条业务操作合规标准：（一）采集前：核对身份信息，告知隐私保护政策，获取知情同意；（二）采集中：使用专用设备与记录工具，确保数据原始性；（三）采集后：按规定流程登记、加密存储，及时完成双录入校验。第十条禁止性行为：（一）严禁未经授权访问、导出或传输敏感信息；（二）严禁将信息用于工作目的以外的场景；（三）严禁通过非正规渠道留存或转发电子数据。第十一条专项风险防控点：（一）数据安全风险：建立访问权限分级制度，禁止非必要人员接触；（二）流程合规风险：对高风险操作（如数据上报、科研使用）实行双人复核；（三）第三方管理风险：合作单位需通过资质审核，签订保密协议。第十二条特殊人群保护：（一）对儿童、孕妇等特殊群体实施差异化保护措施；（二）涉恐涉暴相关信息按应急预案处置，全程录音录像。第十三条疫情报告管理：（一）建立报告信息核验机制，确保数据准确性；（二）异常报告（如短时间内聚集性病例）启动即时核查流程。第十四条科研信息管理：（一）脱敏处理原始数据，匿名化分析；（二）涉及个人隐私的研究需通过伦理审查委员会审批。第十五条档案管理：（一）纸质档案按年度装订归档，设置专人保管；（二）电子档案定期备份，实现不可逆销毁机制。第四章专项管理运行机制第十六条制度动态更新：（一）每年至少修订一次，或根据法规变化即时调整；（二）修订需经领导小组审议，并组织全员培训。第十七条风险识别预警：（一）每季度开展风险排查，采用表格化清单管控；（二）建立风险数据库，按级别发布预警通知。第十八条合规审查：（一）嵌入关键节点：采集方案审批、系统权限授予、报告审核；（二）实行“一票否决制”，未经审查的项目不得实施。第十九条风险处置：（一）一般风险由业务部门限期整改；（二）重大风险启动应急预案，由领导小组统筹处置。第二十条责任追究：（一）违规情形：泄露信息、违规操作、流程缺漏等；（二）处罚标准：与绩效考核挂钩，情节严重按纪律处分。第二十一条评估改进：（一）每年开展管理有效性评估，采用问卷、访谈及数据抽样；（二）形成评估报告，明确优化方向与整改时限。第五章专项管理保障措施第二十二条组织保障：（一）各层级负责人签订管理责任书；（二）设立专项管理联络员，负责跨部门协调。第二十三条考核激励机制：（一）专项合规情况纳入年度考核指标；（二）设立“信息保护先进岗”，与评优评先挂钩。第二十四条培训宣传：（一）管理层培训：每年不少于2次，内容涵盖法律法规与制度红线；（二）一线员工培训：结合案例开展实操演练，考核合格后方可上岗。第二十五条信息化支撑：（一）部署数据防泄漏系统，实现实时监测；（二）采用区块链技术加强关键数据存证。第二十六条文化建设：（一）编制《信息保护合规手册》，发放至每位员工；（二）设立合规宣传角，定期更新典型案例。第二十七条报告制度：（一）风险事件上报：事发后48小时内提交初步报告，3日内完成调查报告；（二）年度管理情况：次年3月前提交全流程分析报告，包括数据统计、问题汇总及改进计划。第六章附则第二十八条本制度